Alineación recomendada con GuardDuty y AWS Security Hub Actualización recomendada de la frecuencia de las GuardDuty CloudWatch notificaciones

Recomendaciones para habilitar Detective

Considera seguir estas recomendaciones antes de activar Detective

Alineación recomendada con GuardDuty y AWS Security Hub

Si está inscrito en GuardDuty y AWS Security Hub, le recomendamos que su cuenta sea una cuenta de administrador para esos servicios. Si las cuentas de administrador son la misma para los tres servicios, los siguientes puntos de integración funcionan sin problemas.

En GuardDuty nuestro Security Hub, al ver los detalles de un GuardDuty hallazgo, puede pasar de los detalles del hallazgo al perfil de búsqueda del Detective.
En Detective, al investigar un GuardDuty hallazgo, puedes elegir la opción de archivarlo.

Si tiene cuentas de administrador diferentes para GuardDuty Security Hub, le recomendamos que alinee las cuentas de administrador en función del servicio que utilice con más frecuencia.

Si lo usa con GuardDuty más frecuencia, habilite Detective con la cuenta de GuardDuty administrador.

Si la utiliza AWS Organizations para administrar cuentas, designe la cuenta de GuardDuty administrador como la cuenta de administrador de Detective de la organización.
Si utiliza Security Hub con mayor frecuencia, habilite Detective con la cuenta de administrador de Security Hub.

Si utiliza Organizations para administrar cuentas, designe la cuenta de administrador de Security Hub como cuenta de administrador de Detective para la organización.

Si no puede utilizar las mismas cuentas de administrador en todos los servicios, puede crear un rol para varias cuentas después de habilitar Detective. Este rol concede acceso como administrador de cuenta a otras cuentas.

Para obtener información sobre cómo se IAM admite este tipo de función, consulte Proporcionar acceso a un IAM usuario de otra AWS cuenta de la que sea propietario en la Guía del IAM usuario.

Actualización recomendada de la frecuencia de las GuardDuty CloudWatch notificaciones

En GuardDuty, los detectores están configurados con una frecuencia de CloudWatch notificación de Amazon para informar de la aparición posterior de un hallazgo. Esto afecta al envío de notificaciones a Detective.

De forma predeterminada, la frecuencia es de seis horas. Con esta frecuencia, incluso si un resultado se repite muchas veces, las nuevas apariciones no se muestran en Detective hasta seis horas después.

Para reducir el tiempo que tarda Detective en recibir estas actualizaciones, recomendamos que la cuenta de GuardDuty administrador cambie la configuración de sus detectores a 15 minutos. Tenga en cuenta que cambiar la configuración no afecta al coste de uso GuardDuty.

Para obtener información sobre cómo configurar la frecuencia de las notificaciones, consulte Monitoring GuardDuty Findings with Amazon CloudWatch Events en la Guía del GuardDuty usuario de Amazon.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos

Habilitación de Detective